Qu'est-ce que le RGPD et comment peut-il affecter les organisations à but non lucratif ?

Publié: 2018-05-03

Ce billet de blog est à titre informatif uniquement et n'est pas destiné à servir de conseil juridique. Veuillez consulter un conseiller juridique pour déterminer l'impact que le RGPD peut avoir sur votre entreprise.

À ce jour, vous avez probablement entendu parler du nouvel ensemble de lois sur la confidentialité de l'Union européenne appelé Règlement général sur la protection des données (RGPD). À l'approche de la date limite de mise en conformité, il se peut que votre organisation doive prendre des mesures. Lisez la suite pour savoir comment le GDPR peut affecter les organisations à but non lucratif.

Qu'est-ce que le RGPD ?

Le GDPR est un règlement de confidentialité de l'Union européenne (UE) qui entrera en vigueur le 25 mai 2018. La législation a été créée pour renforcer la protection des données personnelles des citoyens de l'UE et pour exiger que toutes les entreprises qui contrôlent ou traitent des données personnelles. données des citoyens de l'UE le font de manière sûre et transparente.

Le fait le plus important à retenir est sans doute que la réglementation s'applique de la même manière aux entreprises et aux organisations à but non lucratif non européennes. Toutes les organisations qui ont collecté des données personnelles de citoyens de l'UE (telles que définies dans le RGPD) - qu'elles soient des employés, des donateurs, des bénévoles ou des bénéficiaires - sont concernées et seront responsables de la conformité au RGPD.

Il existe des sanctions importantes en cas de non-conformité, y compris, mais sans s'y limiter, une amende pouvant aller jusqu'à quatre pour cent du chiffre d'affaires global d'une organisation. De plus, comme la protection des données continue d'être une préoccupation majeure pour l'industrie à but non lucratif, votre organisation pourrait faire face à des réactions publiques en cas de non-conformité, ce qui entraînerait une perte de soutien de la part des partenaires, des donateurs et des membres.

Conformité GDPR pour les organisations à but non lucratif

Selon l'Information Commissioner's Office (ICO), les organisations à but non lucratif peuvent être des « contrôleurs de données » et des « sous-traitants de données » (selon la situation) et donc soumises à la conformité au RGPD de plusieurs manières, notamment :

  1. En tant qu'employeur traitant des données de bénévoles, de fiduciaires et d'employés
  2. En tant que prestataire de services aux bénéficiaires
  3. En tant qu'organisation de collecte de fonds ou de campagne

De même, les collecteurs de fonds individuels doivent également être éduqués sur le RGPD, car ils pourraient agir en tant que contrôleurs de données s'ils collectent des données sur les supporters lors de la collecte de fonds pour le compte d'une organisation à but non lucratif. Si vous avez une campagne peer-to-peer en cours ou à venir, il est de votre responsabilité d'informer les collecteurs de fonds et de vous assurer que leurs processus sont également conformes.

Comment cela affecte-t-il mon organisation à but non lucratif ?

Pour que votre association soit conforme, vous devez être transparent et minutieux dans la collecte et le traitement des données personnelles. Cela s'applique aux données des employés, des bénévoles, des donateurs, des sympathisants, c'est-à-dire de toute personne auprès de laquelle votre organisation à but non lucratif collecte des données personnelles. Les organisations doivent avoir une politique et une procédure écrites sur la façon dont elles traitent les données personnelles et respecter les principes de confidentialité.

La législation exige également le respect des huit principes de protection des données qui sont énumérés ci-dessous.

Le GDPR prévoit les droits suivants pour les individus :

  1. Le droit d'être informé sur la collecte et l'utilisation des données personnelles
  2. Le droit d'accès à leurs données personnelles et informations complémentaires
  3. Le droit de rectifier des données personnelles inexactes ou de compléter des données incomplètes
  4. Le droit à l'effacement des données personnelles
  5. Le droit de restreindre le traitement qui permet à une organisation de stocker des données mais pas de les utiliser
  6. Le droit à la portabilité des données qui permet aux individus d'obtenir et de réutiliser en toute sécurité et en toute sécurité leurs propres données à leurs propres fins
  7. Le droit de s'opposer au traitement fondé sur des intérêts légitimes, le marketing direct et à des fins de recherche
  8. Droits relatifs à la prise de décision automatisée et au profilage

Comment mon organisation à but non lucratif devient-elle conforme ?

Les organisations à but non lucratif sont toujours autorisées à utiliser des tactiques de marketing pour promouvoir, collecter des fonds et s'engager auprès des donateurs, mais le traitement des données doit être effectué conformément aux six bases légales définies par la législation GDPR.

La liste suivante est tirée du guide GDPR and Charitable Fundraising Introduction et comme ils l'ont écrit, les six bases légales sont :

  1. Consentement : vous pouvez montrer qu'une personne a effectué une action affirmative claire (comme dire "oui" à une question ou cocher une case d'opt-in) pour vous permettre de traiter ses données personnelles dans un but spécifique. Les cases pré-cochées ne constituent pas un consentement.
  2. Contrat : Le traitement est nécessaire pour un contrat que vous avez avec la personne, ou parce qu'elle vous a demandé de prendre des mesures spécifiques avant de conclure un contrat.
  3. Obligation légale : Le traitement est nécessaire pour que vous respectiez la loi (hors obligations contractuelles).
  4. Intérêts vitaux : le traitement est nécessaire pour protéger la vie de quelqu'un.
  5. Tâche publique : le traitement est nécessaire pour que vous exécutiez une tâche d'intérêt public ou pour vos fonctions officielles, et la tâche ou la fonction a une base légale claire.
  6. Intérêts légitimes : le traitement est nécessaire pour vos intérêts légitimes ou les intérêts légitimes d'un tiers, à moins que les intérêts ou les droits et libertés de la personne ne prévalent sur ces intérêts (cela ne peut pas s'appliquer si vous êtes une autorité publique traitant des données pour accomplir vos tâches officielles) .

L'ICO répertorie les conseils de protection des données suivants pour les petites et moyennes organisations à but non lucratif :

  1. Dites aux gens ce que vous faites avec leurs données. L'un des principes les plus importants du RGPD est que les organisations sont ouvertes et honnêtes sur la manière dont les données seront utilisées.
  2. Former tout le personnel, les membres et les bénévoles sur la protection des données et sur la façon de stocker et de gérer toutes les données personnelles.
  3. Utilisez des mots de passe forts pour assurer la sécurité des informations.
  4. Crypter tous les appareils portables contenant des informations personnelles.
  5. Établissez des périodes de conservation et ne conservez les renseignements personnels que le temps nécessaire.

N'oubliez pas que ces conseils ne sont qu'un point de départ pour préparer votre équipe aux processus et réglementations qui s'ajouteront au traitement des données de votre organisation. Pour plus d'informations, lisez ces ressources supplémentaires sur l'impact de ce changement sur votre organisation et sur les prochaines étapes à suivre.

  • RGPD : un guide pour les organismes de bienfaisance
    • Créé par : Charity Finance Group
  • Introduction au RGPD et aux collectes de fonds caritatives
    • Créé par : Institute of Fundraising, Fundraising Regulator, et revu par ICO
  • Se préparer au RGPD, 12 étapes à suivre maintenant
    • Créé par : ICO
  • Liste de vérification pour l'auto-évaluation
    • Créé par : ICO

Classy et le RGPD

Chez Classy, ​​nous sommes implacables dans notre dévouement à la confidentialité et à la sécurité des données de nos clients, et notre équipe est pleinement engagée dans la conformité au RGPD.

À quand remonte la dernière fois que vous avez mis à jour votre cybersécurité à but non lucratif ?